Données sur le Cloud : un risque pour le vote sur Internet ?

Difficile de nier l’échec des dernières élections ayant utilisé le vote sur Internet : entre la succession de couac qu'a connu les primaires parisiennes de l'UMP et le vote des législatives 2012 pour les français à l'étranger, le lancement du vote sur Internet a été particulièrement laborieux.

Un début chaotique bien dommage car le vote par Internet est aussi porteur de réelles avancées, notamment en faveur d'une démocratie plus participative où son utilisation permet de diminuer le taux d'abstention, un facteur non négligeable à une époque ou cette abstention est en constante augmentation. Si les bugs survenus lors de ces élections ont été causés par des failles du logiciel Java utilisées lors du chiffrement des données des électeurs, la sécurité des serveurs distants sur lesquels transitent les données des électeurs est elle aussi pointée du doigt. Un bug majeur qui a impacté l’hébergeur OVH fin juillet en est une illustration.


Quelle sécurité pour les données sur le Cloud ?


Si sauvegarder ses données sur le Cloud est en passe de devenir la norme, la sécurité des données sur ses serveurs distants reste toujours problématique. La succession de piratage qu'a connu ces derniers mois les principaux hébergeurs en est une preuve : fin juillet, OVH le principal fournisseur d’accès d'Europe, indiquait que ses serveurs avaient été piratés par des hackers, ces derniers ayant réussi à récolter la base de données des clients de l’hébergeur avec leur nom, prénom, adresse … mais aussi la possibilité de déchiffrer leur mot de passe codé. Le site, à qui on ne peut pas reprocher sa transparence sur l'incident, a précisé que les hackers ont pu avoir accès aux données des utilisateurs en utilisant l'adresse email d'un des administrateurs du site et en se connectant aux serveurs via un VPN. Une technique utilisée par les pirates qui paraît bien simple au vu des dégâts occasionnés. Un incident qui n'est pas isolé : depuis quelques mois les principaux prestataires de Cloud comme Google Drive, Dropbox ou iCloud ont vu leurs serveurs piraté et des données subtilisées. Des incidents qui peuvent provenir de faille interne : il y'a deux ans un employé de Google Drive avait ainsi abusé des droits d’accès sur ses données et avait profité de l’accès à ces données pour harceler des adolescentes via la retranscription de leurs données sur Google Talk et leur carnet d'adresse.


A noter que si plusieurs prestataires de Cloud chiffrent automatiquement les données mises sur leurs serveurs, comme iCloud ou Dropbox, ce n'est pas le cas de l'ensemble des hébergeurs, comme Google Drive ou OVH. En France la CNIL (Commission Nationale de l'Informatique et des Libertés) a ainsi mis en garde les hébergeur et le public sur les problèmes de sécurité affectant les procédures d'authentification : "il y a une multitude d'exemples qui montrent que des mots de passe se sont retrouvés dans la nature. Le risque, c'est que d'autres personnes accèdent à vos données", précise Gwendal Le Grand, chef de service d'expertise de la commission. Une problématique de chiffrement des données d'autant plus grande que les prestataires ne souhaitent pas alourdir les procédures de login. Des procédures simplifiées pour attirer de nouveaux membres mais qui peuvent affecter la sécurisation des données.


Vote sur Internet : pourquoi héberger les données sur serveurs distants


La CNIL prône donc de ne pas y mettre de données trop sensible … mais de façon assez étonnante elle valide des solutions de votes sur Internet, données pourtant particulièrement sensibles, qui utilisent des hébergements des données sur serveurs distants. La CNIL stipule ainsi dans ces recommandations que le système de chiffrement du bulletin de vote soit effectué sur le poste du votant et que le bulletin chiffré soit transmis en l'état sur le serveur de vote. Il est facile d'imaginer dans ces conditions les dangers d'un tel process : une fois les données transmises sur le serveur de vote (la majorité des prestataires utilisent des solutions d’hébergement distant), d'éventuels hackers vont ainsi utiliser les failles de sécurité de ces serveurs sur le Cloud. Dans ce contexte il paraîtrait bien plus judicieux de sauvegarder les données sur des serveurs sécurisés qui ne soient pas accessible via Internet et géré directement par le prestataire de la solution de vote par Internet et ceci afin d'optimiser la sécurité des données et réduire le risque de piratage. Une réduction du risque qui pourrait bénéfice au vote sur Internet qui en a bien besoins après toute la succession de bugs des primaires UMP ...